Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) hat den Safer Internet Day 2024 genutzt, um über sich hartnäckig haltenden Datenschutzirrtümer aufzuklären.
Nachstehend ein paar Irrtümer:
Datenschutz will Digitalisierung verhindern
Nein. Digitalisierung, aber rechtskonform und mit Datenschutz.
DSGVO gilt nicht für Privatpersonen, sondern nur für Unternehmen, Behörden und Betriebe
Nein. Verantwortlicher kann jede natürliche und juristische Person, Behörde, Einrichtung oder andere Stelle sein, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO). Auch Privatpersonen können daten-schutzrechtlich verantwortlich gemacht werden.
Mit einer Einwilligung ist alles erlaubt
Nein. Die Einwilligung wird nur für einen bestimmten Zweck erteilt. Darüber hinaus dürfen personenbezogene Daten nicht genutzt werden. Eine Einwilligung muss u.a. immer freiwillig und informiert sein. Sie kann jederzeit widerrufen werden.
Werden Daten pseudonymisiert entfällt die Anwendung der DSGO
Nein. Pseudonymisierte Daten können mit zusätzlichen Hilfsmitteln in ihre Ausgangsdaten zurückgeführt werden.
DSGVO gilt nur für die elektronische Datenverarbeitung
Stimmt nicht. Die DSGVO gilt auch für analoge Verarbeitungen („Papierform“) von Daten (Art. 2 Abs. 2 DSGVO).
DSGVO ist so streng
Dies ist nicht der Fall. Die Regelungen zur Verarbeitung personenbezogener Daten in der DSGVO sind gegenüber der bisherigen Datenschutz-Richtlinie und ihrer damaligen Umsetzung nicht nur weitgehend gleichgeblieben, sondern die DSGVO hat darüber hinaus das Daten-schutzrecht weitgehend harmonisiert.
Dadurch ist der Datenverkehr innerhalb Europas (EU/EWR) deutlich einfacher geworden, was ein erklärtes, leider oft übersehenes Ziel der DSGVO ist. Außerdem gilt die DSGVO auch für Verantwortliche außerhalb der EU/EWR, wenn sie Daten von Personen innerhalb der EU verarbeiten.
Nur größere „Datenpannen“ müssen der Aufsichtsbehörde gemeldet werden
Dies ist nicht der Fall. Eine Datenpanne ist der Aufsichtsbehörde bei einer Verletzung des Schutzes personenbezogener Daten möglichst binnen 72 Stunden nach Bekanntwerden der Verletzung zu melden.
Eine Verletzung des Schutzes personenbezogener Daten ist gem. Art. 4 Nr. 12 DSGVO eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Weitergabe von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Der für die Verarbeitung Verantwortliche muss dies gemäß den Grundsätzen der Rechenschaftspflicht nachweisen. Da die Fälle, in denen wirklich kein Risiko besteht, sehr begrenzt sind, ist eine Meldung nach Art. 33 DSGVO auch bei geringfügigen Vorfällen in der Regel unumgänglich.
Prüfung der Umsetzung der DSGVO, insbesondere der Sicherheit der Verarbeitung nach Art. 32 DSGVO, ist nur einmal zu Beginn durchzuführen.
Dies ist nicht der Fall. Nach der DSGVO sind die technischen und organisatorischen Maßnahmen (TOM) nicht nur einmalig umzusetzen, vielmehr ist ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM vorzusehen (Art. 32 Abs. 1 lit. d DSGVO). Die aktuelle Angemessenheit der TOM orientiert sich dabei jeweils am Stand der Technik.
Insbesondere das Auftreten von Datenpannen kann dazu führen, dass bestehende Prozesse und technische Umsetzungen einer erneuten Überprüfung unterzogen werden müssen.
In eine Datenschutzerklärung muss eingewilligt werden
Nein. Ein weit verbreiteter Irrglaube im Zusammenhang mit der Einwilligung betrifft die Datenschutzerklärung.
Mit einer Datenschutzerklärung – besser ist der Begriff „Datenschutzhinweise“ – erfüllt der Verantwortliche seine Informationspflichten gegenüber der betroffenen Person, u.a. gegenüber den Beschäftigten, den Kunden, den Nutzern und Geschäftspartnern.
Diese Informationenpflichten dienen, wie der Name schon sagt, lediglich zur Information der betroffenen Person und informieren u.a. über Zwecke der Verarbeitung, Empfänger der Daten, Speicherdauer, etc. (Art. 12 ff. DSGVO), eine Bestätigung der Kenntnisnahme oder Zustimmung ist nicht erforderlich und sollte auch aus zivil- und vertragsrechtlichen Gründen nicht eingefordert werden.
Weitere Irrtümer im Datenschutz – Pressemitteilung des TLfDI: https://www.tlfdi.de/fileadmin/tlfdi/presse/Pressemitteilungen_2024/240202_PM_SID.pdf
Haben Sie Fragen zu diesem oder anderen Themen?
Wir stehen wir Ihnen gerne zur Verfügung – per E-Mail consulting@adorgasolutions.de.